Network Security Klausur an der Hochschule Karlsruhe - Technik und Wirtschaft Wintersemester 2013/14, Dienstag, , 11:00 Uhr Name: ___________________ Punkte: ______ / 100 (40 zum Bestehen) Note:____ Disclaimer: - Zugelassene Hilfsmittel: keine ausser Stifte und Lineal - Der Lösungsweg muss bei allen Aufgaben ersichtlich sein - Ähnlichkeiten mit realen Personen oder Unternehmen sind rein zufällig und nicht beabsichtigt Name: ___________________ Punkte: ______ / 100 (40 zum Bestehen) Note:____ Disclaimer: - Zugelassene Hilfsmittel: keine ausser Stifte und Lineal - Der Lösungsweg muss bei allen Aufgaben ersichtlich sein - Ähnlichkeiten mit realen Personen oder Unternehmen sind rein zufällig und nicht beabsichtigt Aufgabe 1: Begriffswelt __/10__/10 Punkte Aufgabe 1: Begriffswelt __/10__/10 Punkte Aufgabe 2: Safety A)__/ 6 B)__/6 C)__/6 D)__/6 E)__/6 F)__/6 G)__/6__/42 Punkte Aufgabe 2: Safety A)__/ 6 B)__/6 C)__/6 D)__/6 E)__/6 F)__/6 G)__/6__/42 Punkte Zahnarzt Dr. Schmerz hat sich verbohrt und seinem Patienten versehentlich ein Loch in der Zunge gemacht. Nun redet der Patient nur noch undeutlich in seltsamen Fachbegriffen die nach Themen aus „Network Security“ klingen. Können Sie diese jeweils kurz erklären? DDOS, Schutzziele, Honeypot, ASLR, Zurechenbarkeit, Statische Redundanz, NOP Rutsche, Bootvirus, Cross Site Scripting, Verfügbarkeit A)Die Praxis von Dr. Schmerz hat eine redundant ausgelegte Zahnarztstuhl- Stromversorgung. Der Generator der unterbrechungsfreien Stromversorgung hat eine Verfügbarkeit von 40% und springt an, wenn der Anschluss zum Energieversorgungsunternehmen ausfällt, die Sicherungen direkt am Motor des Stuhles von 80%, der Stromanschluss vom Energieversorger eine Verfügbarkeit von 60%. Wie hoch ist die Verfügbarkeit des Zahnarztstuhles? B)Welche Komponente würden Sie bevorzugt austauschen um die Gesamtverfügbarkeit des Systems möglichst stark zu erhöhen, und warum? C)In Zahnarztpraxen spielen Safety und Security im IT-Netzwerk eine bedeutende Rolle. Erläutern Sie die Unterschiede der beiden Themen und warum beide auch für Zahnarztpraxen wichtig sind. D)Nennen Sie jeweils drei Beispiele für Maßnahmen, die die Security bzw. Safety in einer Zahnarztpraxis zu erhöhen helfen. E)Skizzieren Sie anhand von der Steuerung eines Zahnarztstuhles in einer Praxis, wie symmetrische und asymmetrische Redundanz bzw. statische und dynamische Redundanz aussehen können. Welche Art der Redundanz halten Sie für ideal bei der Steuerung von Zahnarztstühlen? Begründen Sie Ihre Wahl!

Aufgabe 3: Security A)__/8 B)__/8 C)__/7 D)__/10 E)__/8 F)__/7 __/48 Punkte Aufgabe 3: Security A)__/8 B)__/8 C)__/7 D)__/10 E)__/8 F)__/7 __/48 Punkte A)Der Begriff „Firewall“ ist nicht sonderlich genau definiert. Welche Komponenten oder Funktionseinheiten könnten in einem „Firewall“ vorkommen? Beschreiben Sie die Funktion jeweils kurz! B)Bitte helfen Sie Herrn Dr. Schmerz, sein Praxisnetz abzusichern - schließlich gibt es hier Patientendaten, Mitarbeiterdaten und Abrechnungsdaten, die getrennt voneinander gehalten werden sollen - indem Sie sich bei den im Aufgabenteil A) gefundenen Komponenten bedienen und sie sinnvoll kombinieren. C)Zahnarzt Dr. Schmerz ist nicht nur ein Profi im Umgang mit den Nerven seiner Patienten, sondern er möchte auch mit einem sinnvollen Satz an Sicherheitspolicies für seine Mitarbeiter nachweislich verlässlich arbeiten. Bitte unterstützen Sie ihn darin, indem Sie mindestens fünf derartige Regeln für seine Mitarbeiter zur Erhaltung der Netzwerksicherheit bei Dr. Schmerz‘ Praxis formulieren. D)Schreiben Sie in Pseudocode einen Wurm, der sich über eine Bufferoverflow Lücke im Webserver von Zahnarztpraxen verbreitet (Motivation hierfür ist Ihre Rache an Zahnärzten für die erlebten Schmerzen bei den letzten Behandlungen) E)Zahnarzt Dr. Schmerz ist es ein Anliegen, stets eine große Menge an Patientennachschub zu gewinnen. Daher versendet er gerne Massenmailings an seine Patienten, in denen er sie auffordert auch Ihre Freunde, Verwandten und Bekannten zu ihm in Behandlung zu schicken. Bitte erklären Sie Was in seiner Mailserver-Versendeinfrastruktur zu berücksichtigen ist, um Massenmailings erfolgreich verarbeiten zu können Was beim Inhalt und Design der Massenmailings hilfreich für Dr. Schmerz sein kann, um nicht so häufig an Spamfiltern zu scheitern F)Schreiben Sie in Pseudocode eine Penetration Testing Suite (hierbei kann die Existenz von Exploits angenommen werden, es geht um die Funktion der Suite, nicht um den einzelnen Buffer Overflow o.ä.!) F)Für die Server zur Patientendatenhaltung möchte Dr. Schmerz ein Redundanzkonzept mit Hot Standby implementiert haben. Beraten Sie ihn hinsichtlich der verschiedenen Ebenen auf denen die Umschaltung zwischen den Serversystemen erfolgen kann und stellen Sie die Vor- und Nachteile der Lösungen gegenüber! G)Wie wird der Zustand der Patientendatenbank in Ihrem Modell in F) zwischen dem aktiven und dem passiven System synchronisiert?